從“遷移”到“過渡”：NIST後量子最新報告解讀

2024年11月12日，美國國家標準與技術研究院（NIST）發布了NIST IR 8547《Transition to Post-Quantum Cryptography Standards》初稿。這份報告提出了向後量子密碼標準過渡的路線圖，引發廣泛關注。報告中，一個看似細微的術語變化卻尤為引人注目——從此前的“Migration to Post-Quantum Cryptography”（向後量子密碼遷移）轉變為“Transition to Post-Quantum Cryptography”（向後量子密碼過渡）。這一措辭上的變化不僅表明NIST對技術演進的思考更加深入，同時也反映了密碼遷移在實際操作中的複雜性與長期性。

▼ 1.從“遷移”到“過渡”：為什麼用詞改變重要？

“Migration”意為“遷移”，強調傳統密碼向抗量子密碼的徹底替換，突出緊迫性與完整性。而NIST此次採用“Transition”（過渡）一詞，更準確反映了密碼技術演進的複雜性，這意味着新舊技術可能將長期共存，需動態調整逐步推進。

▼ 2.從緊迫到現實：逐步過渡策略

在過往的公開文件和會議中，NIST多次強調“先存儲，後解密”（Harvest Now, Decrypt Later）的風險，敦促儘早採用抗量子密碼技術。而此次報告首次以“Transition”定義遷移進程，提出了更為靈活的應對策略。根據報告中的描述，我們總結出以下三個階段：

 ▌ 短期（2024-2029）：標準發布與早期實施階段

NIST預計將在這一階段發布針對特定應用場景的指南，推動早期採用者逐步實踐。

 ▌中期（2030-2035）：傳統算法逐步淘汰階段

到2030年，NIST計劃將112位安全強度的傳統公鑰算法標記為“不推薦使用”（Deprecated），並在2035年全面禁用這些算法。

 ▌長期（2035年以後）：全面採用抗量子密碼標準

從2035年起，新系統將全面強制使用抗量子密碼算法，傳統算法將不再被允許用於任何新的加密和簽名任務。

▼ 3.過渡過程中的關鍵考量

NIST在該報告中詳細討論了代碼簽名、用戶和設備認證、網絡安全協議、電子郵件和文件簽名加密等應用場景的特殊考慮，強調了不同應用場景的特殊需求，並指出某些系統可能需要優先遷移，以降低長期機密信息被量子計算機攻擊的風險。此外，NIST建議靈活制定遷移時間表，以平衡不同應用的安全需求與技術複雜性。

另外，向後量子密碼的遷移可能首先採用混合方案，即在密鑰生成或數字簽名時同時使用抗量子算法和傳統算法。這類方案旨在保證：只要其中一個算法安全，整體方案就能保持安全性。在某些仍需使用傳統算法的場景中，混合方案可作為兼容抗量子密碼的過渡路徑。NIST將是否採用混合密鑰協商或雙重簽名的決定權交由具體應用場景，根據其對實施成本、性能影響和工程複雜性的承受能力來確定。為支持希望採用混合模式的組織，NIST表示，在混合方案與核准標準適當結合時，將在FIPS 140驗證中提供支持。

▼ 4.算法不推薦使用與禁用時間表

報告中對傳統算法的淘汰規划進一步明確，以下是主要算法的不推薦使用與禁用時間表：

這些算法的淘汰節點表明，NIST希望通過明確的時間限制，引導行業穩步完成抗量子密碼的遷移。

▼ 5.為什麼從“Migration”到“Transition”是一個必然選擇？

這一術語變化折射出的是技術實施的現實挑戰和多方需求之間的平衡：

 ▌技術成熟度的差異：儘管NIST已公布了首批後量子密碼算法標準，但許多相關配套技術（如硬件安全模塊、加密庫、協議標準、基礎設施等）尚未完全成熟。

 ▌應用場景的多樣性：不同領域對密碼技術的需求和敏感度差異很大。例如，金融機構和政府部門對數據安全的要求極高，必須儘早部署抗量子密碼；而某些低風險領域則可以延長過渡期，減少成本壓力。

 ▌產業鏈的廣泛參與：密碼技術的更新不僅僅是標準化的問題，更需要軟硬件廠商、開發者和運營機構的全方位協作，以便在全球範圍內逐步推進這一技術升級。

▼ 6.總結

從“Migration”到“Transition”，NIST的用詞變化不僅反映了技術演進的實際需求，也標誌着後量子密碼過渡策略的進一步明確。各行業應密切關注NIST動態，積極制定符合自身需求的過渡計劃，在量子計算時代到來之前，穩步提升數據安全能力。

作為數據安全領域的專家，握奇將積極響應這一趨勢，提前規劃與部署，持續為客戶提供面向未來的抗量子密碼解決方案，助力構建穩固的數字安全防護體系。